一、 漏洞 CVE-2025-53102 基础信息
漏洞信息
# Discourse WebAuthn会话未清除漏洞
## 漏洞概述
Discourse 是一个开源的社区讨论平台。在版本 3.4.7(`stable` 分支)和 3.5.0.beta.8(`tests-passed` 分支)之前,使用物理安全密钥进行 2FA(双因素认证)过程中存在安全挑战未清除的问题。
## 影响版本
- `stable` 分支版本 < 3.4.7
- `tests-passed` 分支版本 < 3.5.0.beta.8
## 漏洞细节
在用户使用物理安全密钥进行 2FA 认证时,服务器会生成一个 WebAuthn 挑战(challenge),由客户端进行签名。然而,该挑战在认证完成后未从用户会话中清除,可能导致其被重复使用。
## 漏洞影响
挑战值未被清除可能增加安全风险,攻击者若获取该值,或可利用其进行重放攻击(replay attack),从而绕过 2FA 认证机制。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53102 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53102 的情报信息
-
标题: WebAuthn challenge not cleared from user's session after authentication · Advisory · discourse/discourse · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: SECURITY: Clear webauthn challenge from session after authenticating · discourse/discourse@20bf650 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: SECURITY: Clear webauthn challenge from session after authenticating · discourse/discourse@8bc0cee · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53102
四、漏洞 CVE-2025-53102 的评论
暂无评论